Los hackers utilizan dispositivos Android hackeados para crear cuentas de pago

Last Updated on febrero 28, 2022 by Daniel Cepeda

Plataforma Android hackeada para crear cuentas de pago. Los expertos de Trend Micro estaban investigando los servicios de PVA (cuentas verificadas por teléfono) por SMS cuando descubrieron una plataforma fraudulenta construida a partir de una red de bots de miles de teléfonos Android infectados.

La plataforma proporciona a sus clientes los dispositivos de otra persona para crear cuentas ficticias.

Los servicios de PVA por SMS, que se generalizaron ya en 2018, proporcionan a sus clientes números de móvil alternativos que pueden utilizarse para registrarse en diversos servicios y plataformas en línea, y ayudan a eludir la autenticación basada en SMS y los SSO creados para verificar nuevas cuentas.

Los expertos de Trend Micro

Este tipo de servicio puede ser utilizado por los atacantes para registrar masivamente cuentas únicas o crear cuentas con un número de teléfono verificado para cometer fraudes y otras actividades delictivas.

La telemetría recogida por la empresa muestra que Indonesia representa la mayoría de las infecciones (47.357), seguida de Rusia (16.157), Tailandia (11.196), India (8.109), Francia (5.548), Perú (4.915), Marruecos (4.822), Sudáfrica (4.413), Ucrania (2.920) y Malasia (2.779).

La mayoría de los dispositivos afectados son teléfonos Android de bajo coste, incluyendo dispositivos de Lava, ZTE, Mione, Meizu, Huawei, Oppo y HTC.

Trend micro

Un líder mundial en ciberseguridad

El malware trata de pasar desapercibido, robando sólo aquellos mensajes de texto que corresponden a una app concreta para continuar de forma encubierta esta actividad durante el mayor tiempo posible", afirman los investigadores. - Si el servicio de SMS PVA permitiera a sus clientes acceder a todos los mensajes de los teléfonos infectados, sus propietarios se darían cuenta rápidamente del problema.

El servicio de smspva que los investigadores desmontan como ejemplo consiste en su totalidad en dispositivos Android infectados con malware de secuestro de SMS.

Los investigadores creen que esto podría haber sucedido de dos maneras: a través de malware descargado accidentalmente por los usuarios, o a través de malware preinstalado en los dispositivos durante la producción.

Es decir, la segunda opción implica comprometer la cadena de suministro.

El servicio de malware se anuncia como “un montón de números de teléfono virtuales” para su uso en diversas plataformas a través de una API, y sus administradores afirman proporcionar números de teléfono de más de 100 países de todo el mundo.

El malware Guerrilla (plug.dex) asociado a esta actividad está diseñado para analizar los mensajes SMS, cotejarlos con determinadas plantillas recibidas de un servidor remoto y, a continuación, transmitir al servidor de los hackers los mensajes adecuados que coincidan con dichas plantillas.

Trend Micro

líder en ciberseguridad empresarial y en la nube

Ask Question

La existencia de servicios de PVA por SMS socava una vez más la fiabilidad de la verificación por SMS como medio principal de validación de cuentas", concluyen los investigadores. - "La escala a la que los servicios de SMS PVA pueden proporcionar números móviles significa que los métodos de validación convencionales, como la elaboración de listas negras de números móviles previamente asociados a abusos, o la identificación de números pertenecientes a servicios de VoIP o pasarelas de SMS, ya no son suficientes.

Dado que los portales en línea suelen autenticar las nuevas cuentas cruzando la ubicación de los usuarios (dirección IP) con sus números de teléfono durante el registro, los servicios de PVA por SMS eluden esta restricción utilizando proxies y VPN residentes.

Anteriormente

NoticiasEl FBI admite haber comprado software espía a NSO Group

NoticiasEl malware SharkBot se hace pasar por antivirus en Google Play Store